Comment l’analyse du trafic réseau améliore la sécurité

Depuis des décennies, les responsables informatiques exploitent les données relatives au trafic réseau pour améliorer la gestion de la bande passante et les performances de leurs applications et services. Mais, il y a quelques années, une nouvelle catégorie d'outils est apparue, qui vise à aider les entreprises à exploiter l'analyse du trafic réseau pour mieux sécuriser leurs systèmes d’information.
Ces outils appliquent l'apprentissage automatique, l'heuristique et d'autres techniques pour essayer d'identifier le trafic malveillant qui passerait normalement inaperçu.

Les données agrégées de paquets, collectées par les sondes, peuvent fournir une image plus claire sur ce qui se passe sur le réseau en quasi temps réel. Les outils d'analyse du trafic réseau (NTA, Network Traffic Analysis) évaluent les données du trafic et des flux pour construire un modèle de référence du trafic normal, en s’appuyant sur des techniques d’apprentissage automatique. Cela fait, ils ont recours à des analyses avancées pour identifier des déviations de ce modèle de référence, et alerter les équipes informatiques de ces anomalies.

Les outils d'analyse du trafic réseau fournissent une visibilité considérable sur l'activité du réseau est-ouest, à partir de l’analyse des données de flux et de trafic provenant des sondes. Ces outils peuvent également examiner le trafic nord-sud lorsqu'il traverse le périmètre.

Grâce à de considérables progrès en matière de surveillance et d'analyse, les outils de NTA offrent une perspective complète de l'activité des couches 2 à 7 du modèle OSI afin de révéler quels sont les hôtes qui communiquent entre eux, de quelle manière, suivant quels protocoles, voire le contenu de leurs communications. Certains de ces outils peuvent établir des modèles de comportement associés au trafic chiffré sans avoir à décoder ce trafic.

Aujourd’hui, la NTA vise à aider à accélérer la détection des menaces – elle ne s’inscrit pas en concurrence des outils déjà existants et conçus pour aider les analystes à enquêter sur un incident passé. Lorsqu'elle est combinée à des services tiers tels que les outils de sécurité des hôtes (EPP), l'analyse du trafic réseau peut fournir une perspective encore plus riche sur l'activité et aider à accélérer une réponse. L'analyse du trafic réseau peut également s'intégrer à des services de réponse à incident afin confiner la menace, lorsque le degré de confiance s’avère élevé pour une alerte, en isolant un hôte compromis du réseau.

De nombreuses organisations sont toutefois réticentes à automatiser pleinement la réponse initiale à une alerte. Ce qui n’empêche pas pour autant d’industrialiser certaines étapes de la réponse, comme l’activation de contrôles de sécurité ciblés – tel le blocage de certains noms de domaine –, dont le potentiel de perturbation d’une activité légitime est plus faible que la mise hors ligne d'un système.